Zátěžové testy (DoS)
Poskytování služeb prostřednictvím internetu a webových technologií představuje pro firmy často klíčovou část jejich podnikání. Tento fakt si však uvědomují i útočníci, kteří se např. v rámci konkurenčního boje pokouší poškodit jejich provozovatele znepřístupněním dané služby. Jste na to připraveni?
DoS (Denial of Service) doslova znamená odmítnutí služby, tj. server může být útočníkem zahlcen a odmítne obsloužit legitimního klienta. Ještě častěji je vidět zkratka DDoS, kde dodatečné „D“ znamená Distributed, tj. na útoku se podílí mnoho různorodých strojů, jejichž dotazy se soustředí na server či službu oběti. Často se na tomto útoku podílí botnety, tj. sítě útočníkem ovládaných zařízení, což mohou být vedle serverů a stanic i mobilní telefony a další k internetu připojené „věci“ (IoT – Internet of Things).
Cíl testu
Smyslem testu je ověřit odolnost Vašich aplikací, služeb či aplikačních rozhraní (API) vůči útokům typu (D)DoS.
Cílem útoku (a tedy i testu) mohou být různé služby na straně zákazníka, obvykle webové aplikace či služby, API (SOAP, REST) nebo elektronická pošta, případně infrastrukturní prvky (routery, DNS).
Nejčastěji je pro provozovatele kritická webová aplikace či služba, která prezentuje nebo zprostředkovává hlavní business společnosti. Proto bývá předmětem testu webový server, resp. „cesta“, která k němu vede (routery, firewall, linka).
Průběh testu
Test lze provést ve Vámi zvoleném čase a předejít tak problémům s dostupností pro běžné návštěvníky nebo zákazníky. Testy trvají řádově jednotky hodin, navíc jsou prováděny formou krátkých sond, kdy se rychle zjistí, zda daný útok či jeho intenzita plní svůj účel a cíl nezvládne odpovědět v rozumném čase. Nejedná se tedy rozhodně o globální dlouhodobý výpadek Vašich služeb.
Prováděné testy
Packet flooding (TCP SYN flood, UDP flood),
HTTP(s) flooding (množství spojení),
Zahlcení specifickými požadavky vyžadující netriviální zpracování na straně serveru.
Přínosy testování
Informace o zátěži, na kterou je Vaše infrastruktura připravena
Identifikace zranitelných komponent
Návrh protiopatření
Prověření reakčních mechanismů a úrovně monitoringu zákazníka
Volitelné testy a rozšíření
E-mailový DoS,
DNS DoS,
Krizové scénáře pro případ DoS útoku/výpadku.
Největší přínos bývá dosažen při realizaci spolu s penetračním testem webové aplikace, který odhalí zranitelná místa vhodná pro DoS útok.
Reporting
Výstupem penetračního testu je závěrečná zpráva, která obsahuje podrobnosti o průběhu testu, popis a klasifikaci nalezených zranitelností a samozřejmě doporučení ke snížení rizika.
Pro klasifikaci závažnosti zranitelnosti standardně využíváme škálu: Nízká (Low), Střední (Medium), Vysoká (High) a Kritická (Critical). V případě požadavku zákazníka přidáme hodnocení pomocí CVSS skóre (Common Vulnerability Scoring System) nebo použijeme zákazníkem dodané klasifikační schéma.
Zpráva je připravena ve formátu MS Word a PDF a zákazníkovi zaslána bezpečným způsobem.
Penetrační testy mohou být zakončeny prezentací výsledků u zákazníka – manažerská prezentace nebo technický workshop/diskuse nad závěrečnou zprávou.
Další typy testů
Vedle výše popsaných testů poskytujeme našim klientům také mnoho jiných typů penetračních testů – viz Penetrační testování – přehled.